Cisco işletim sistemlerini etkileyen bir güvenlik açığı, saldırganların etkilenen cihazları tam kontrol altına almasına, keyfi kodları çalıştırmasına ve hizmet reddi (DoS) koşullarını tetikleyen yeniden yüklemelere neden olmasına olanak tanıyabildiği bildildi. En az bir saldırı girişimi gerçekleşti.
27 Eylül’de Cisco, en son yarıyıl Güvenlik Danışma Birleştirilmiş Yayınını yayınladı. Yayın, IOS ve IOS XE işletim sistemlerini etkileyen sekiz güvenlik açığını detaylandırdı, bunlardan biri olan CVE-2023-20109, 6.6 “Orta” bir ciddiyet puanı alan bir sınırlar dışı yazma sorunudur. Cisco’nun güvenlik danışmanlığına göre, CVE-2023-20109 zaten en az bir denemeyle vahşi ortamda kullanılmıştır.
Cisco sözcüsü Dark Reading’e verdiği açıklamada güvenlik açıklarını kabul etti. “Cisco, bu güvenlik açıklarını gidermek için yazılım güncellemeleri yayınladı. Ek ayrıntılar için belirli güvenlik danışmanlığına başvurun,” dedi sözcü.
Gluware’de güvenlik başkanı Tim Silverline’a göre, bu güvenlik açığı göz ardı edilmemeli, ancak paniğe yol açacak bir neden de değil.
“Organizasyonlar, Cisco tarafından önerilen önlem stratejilerini uygulamalı, ancak buradaki tehlike önemli değil. Eğer kötü niyetli aktör hedef ortama tam erişime sahipse, zaten tehlikededir ve bu, bu izinleri nasıl kullanabileceklerinin sadece bir yoludur,” diyor.
Cisco VPN’deki Sorun
CVE-2023-20109, Cisco’nun VPN özelliğini etkileyen, Group Encrypted Transport VPN (GET VPN) olarak bilinen bir açığı etkiler. GET VPN, bir grup içinde paylaşılan bir dizi şifreleme anahtarı oluşturarak çalışır ve bu grup içinde herhangi bir grup üyesi, doğrudan noktadan noktaya bir bağlantıya ihtiyaç duymadan veriyi şifreleyebilir veya şifresini çözebilir.
Eğer bir saldırgan zaten bu tür bir özel ağ ortamına sızdıysa, bunu iki şekilde sömürebilirler. İlk olarak, anahtar sunucusunu ele geçirebilir ve grup üyelerine gönderilen paketleri değiştirebilirler veya kendi anahtar sunucularını oluşturup kurabilirler ve grup üyelerini gerçek anahtar sunucusu yerine onunla iletişim kurmaları için yeniden yapılandırabilirler.
Cisco için Kötü Bir Gün
Yarıyıl güvenlik yayını gününde, ABD ve Japon yetkilileri, büyük çok uluslu organizasyonlara karşı Cisco yazılımını yeniden yazan Çin devlet APT’si hakkında ortak bir uyarı yayınladı.
Silverline, daha çok tesadüflere veya komplolara eğilimli olanlar için “Bu yeni bir trendin göstergesi değil,” diyor. Her büyük satıcı gibi, Cisco her zaman yeni güvenlik açıklarına sahip olacaktır, “sadece son iki günde iki olay yaşandı.”
Ancak bu, son birkaç yılda görülen siber eğilimlerin bir devamıdır, diye ekliyor Silverline. “Saldırılar daha karmaşık hale geliyor, hızla sermayelendiriliyorlar,” diyor. Özellikle kenar teknolojileri, saldırganlar için ideal bir başlangıç noktasıdır, şirket ağlarını daha geniş web’e açık bir şekilde açığa çıkarırken bazen sunucu meslektaşlarının sağlam güvenlik korumalarını eksik bırakır.
Silverline, organizasyonların yaygın sorunları nasıl ele alabileceğine dair birkaç öneri sunuyor. “Ağ cihazları hiçbir zaman dışa doğru ileti göndermemelidir. Bunun keşfedilmesi halinde, ağ otomasyon yetenekleri, kötü niyetli aktörlerin saldırıyı gerçekleştirmesini engellemek için ağ üzerinde yapılandırmaların doğrulandığını ve uygulandığını sağlayabilir,” diyor. “Benzer şekilde, denetim yetenekleri, ağ ekiplerini ağ cihazlarınızda herhangi bir değişiklik veya politika ihlali meydana geldiğinde hızla cihazı önceki yapılandırmaya geri döndürebilecek şekilde uyarabilir.”